海蓮花特種木馬感染量歷史分布。

　　　　海蓮花特種木馬感染者地域分布。

　　澎湃新聞獨(dú)家獲悉，中國(guó)網(wǎng)絡(luò)安全公司360旗下的“天眼”實(shí)驗(yàn)室將發(fā)布報(bào)告，首次披露一起針對(duì)中國(guó)的國(guó)家級(jí)黑客攻擊細(xì)節(jié)。該境外黑客組織被命名為“海蓮花（OceanLotus）”，自2012年4月起，“海蓮花”針對(duì)中國(guó)的海事機(jī)構(gòu)、海域建設(shè)部門(mén)、科研院所和航運(yùn)企業(yè)，展開(kāi)了精密組織的網(wǎng)絡(luò)攻擊，很明顯是一個(gè)有國(guó)外政府支持的APT（高級(jí)持續(xù)性威脅）行動(dòng)。

　　以“新疆暴恐”誘人中招

　　“海蓮花”使用木馬病毒攻陷、控制政府人員、外包商、行業(yè)專(zhuān)家等目標(biāo)人群的電腦，意圖獲取受害者電腦中的機(jī)密資料，截獲受害電腦與外界傳遞的情報(bào)，甚至操縱該電腦自動(dòng)發(fā)送相關(guān)情報(bào)，從而達(dá)到掌握中方動(dòng)向的目的。

　　據(jù)“天眼”實(shí)驗(yàn)室分析，海蓮花攻擊的主要方式有“魚(yú)叉攻擊”和“水坑攻擊”。

　　“魚(yú)叉攻擊”最常見(jiàn)的做法是，將木馬程序作為電子郵件的附件，并起上一個(gè)極具誘惑力的名稱(chēng)，發(fā)送給目標(biāo)電腦，誘使受害者打開(kāi)附件，從而感染木馬。如，在去年5月22日新疆發(fā)生了致死31人的暴力恐怖性事件之后，5月28日，該黑客組織曾發(fā)送名為“新疆暴恐事件最新通報(bào)”的電子郵件及附件，引誘目標(biāo)人群“中招”。該組織曾發(fā)送過(guò)的電郵名稱(chēng)還包括“公務(wù)員工資收入改革方案”等一系列社會(huì)高度關(guān)注的熱點(diǎn)，令人防不勝防。

　　“水坑攻擊”，顧名思義，是在受害者必經(jīng)之路設(shè)置了一個(gè)“水坑（陷阱）”。最常見(jiàn)的做法是，黑客分析攻擊目標(biāo)的上網(wǎng)活動(dòng)規(guī)律，尋找攻擊目標(biāo)經(jīng)常訪(fǎng)問(wèn)的網(wǎng)站的弱點(diǎn)，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標(biāo)訪(fǎng)問(wèn)該網(wǎng)站就會(huì)“中招”。曾經(jīng)發(fā)生過(guò)這樣的案例，黑客攻陷了某單位的內(nèi)網(wǎng)，將內(nèi)網(wǎng)上一個(gè)要求全體職工下載的表格偷偷換成了木馬程序，這樣，所有按要求下載這一表格的人都會(huì)被植入木馬程序，向黑客發(fā)送涉密資料。

　　京津兩地感染人數(shù)最多

　　“海蓮花”組織在攻擊中還配合了多種“社會(huì)工程學(xué)”的手段，以求加大攻擊效果。比如，在進(jìn)行“魚(yú)叉攻擊”時(shí)，黑客會(huì)主要選擇周一和周五，因?yàn)檫@兩個(gè)時(shí)間人們與外界的溝通比較密切，是在網(wǎng)絡(luò)上傳遞信息的高峰期。而“水坑攻擊”的時(shí)間則一般選在周一和周二的時(shí)間，因?yàn)檫@個(gè)時(shí)候一般是單位發(fā)布通知、要求職工登錄內(nèi)網(wǎng)的時(shí)候。

　　目前已經(jīng)捕獲的與“海蓮花”相關(guān)的第一個(gè)特種木馬程序出現(xiàn)在2012年4月，當(dāng)時(shí)，首次發(fā)現(xiàn)第一波針對(duì)海運(yùn)港口交通行業(yè)的“水坑”攻擊，海蓮花組織的滲透攻擊就此開(kāi)始。不過(guò)，在此后的2年內(nèi)，“海蓮花”的攻擊并不活躍。直到2014年2月，海蓮花開(kāi)始對(duì)中國(guó)國(guó)內(nèi)目標(biāo)發(fā)送定向的“魚(yú)叉”攻擊，海蓮花進(jìn)入活躍期，并在此后的14個(gè)月中對(duì)我國(guó)多個(gè)目標(biāo)發(fā)動(dòng)了不間斷的持續(xù)攻擊。2014年5月，海蓮花對(duì)國(guó)內(nèi)某權(quán)威海洋研究機(jī)構(gòu)發(fā)動(dòng)大規(guī)模魚(yú)叉攻擊，并形成了過(guò)去14個(gè)月中魚(yú)叉攻擊的最高峰。

　　“天眼”實(shí)驗(yàn)室表示，其已捕獲與海蓮花組織有關(guān)的4種不同形態(tài)的特種木馬程序樣本100余個(gè)，感染者遍布中國(guó)29個(gè)省級(jí)行政區(qū)和境外的36個(gè)國(guó)家。其中，中國(guó)的感染者占全球92.3%，而在境內(nèi)感染者中，北京地區(qū)最多，占22.7%，天津次之，為15.5%。為了隱蔽行蹤，海蓮花組織還先后在至少6個(gè)國(guó)家注冊(cè)了服務(wù)器域名35個(gè)，相關(guān)服務(wù)器IP地址19個(gè)，分布在全球13個(gè)以上的不同國(guó)家。

　　大數(shù)據(jù)技術(shù)揭開(kāi)“海蓮花”面紗

　　“天眼”實(shí)驗(yàn)室向記者介紹，事實(shí)上，“海蓮花”的攻擊早已被他們捕捉到，但之前只是零散的發(fā)現(xiàn)，直到去年起，360成立“天眼”實(shí)驗(yàn)室，利用大數(shù)據(jù)技術(shù)進(jìn)行未知威脅檢測(cè)，才首次發(fā)現(xiàn)了這些散見(jiàn)威脅之間的聯(lián)系，一個(gè)國(guó)家級(jí)黑客攻擊行為的輪廓才逐漸清晰。

　　雖然發(fā)現(xiàn)了海蓮花的攻擊軌跡，但如何確定這不是一起普通的商業(yè)黑客行為，而是由某個(gè)敵對(duì)國(guó)家支持的呢？面對(duì)記者的這一疑問(wèn)，“天眼”實(shí)驗(yàn)室表示，首先，這種有組織、有計(jì)劃的長(zhǎng)期攻擊行為需要很高的投入，不是一般商業(yè)公司能夠負(fù)擔(dān)的；其次，“海蓮花”覬覦的資料對(duì)商業(yè)機(jī)構(gòu)沒(méi)有什么價(jià)值。“綜合來(lái)看，海蓮花組織的攻擊周期之長(zhǎng)（持續(xù)3年以上）、攻擊目標(biāo)之明確、攻擊技術(shù)之復(fù)雜、社工手段之精準(zhǔn)，都說(shuō)明該組織絕非一般的民間黑客組織，而是具有國(guó)外政府支持的、高度組織化、專(zhuān)業(yè)化的國(guó)家級(jí)黑客組織。”

　　網(wǎng)絡(luò)間諜行為將越來(lái)越多

　　近年來(lái)，各國(guó)圍繞著“網(wǎng)絡(luò)空間”的攻防戰(zhàn)愈演愈烈，所謂的APT攻擊（高級(jí)持續(xù)性威脅）這一常用的網(wǎng)絡(luò)攻擊手段，從業(yè)內(nèi)人的術(shù)語(yǔ)開(kāi)始為普通人所知。世界知名網(wǎng)絡(luò)安全公司Fireeye(火眼）在數(shù)年前發(fā)布了世界上第一個(gè)APT攻擊報(bào)告APT One，此后開(kāi)始持續(xù)發(fā)布類(lèi)似網(wǎng)絡(luò)威脅。其他知名網(wǎng)絡(luò)安全廠(chǎng)商如卡巴斯基等，也有自己的APT安全報(bào)告。

　　2014年7月美國(guó)媒體曾報(bào)道稱(chēng)，中國(guó)黑客曾在當(dāng)年3月侵入美國(guó)政府電腦系統(tǒng)，中國(guó)外交部發(fā)言人就此回應(yīng)強(qiáng)調(diào)，中方堅(jiān)決反對(duì)網(wǎng)絡(luò)黑客攻擊行動(dòng)，在這方面，中方說(shuō)到做到。“美國(guó)一些媒體和網(wǎng)絡(luò)安全公司經(jīng)常抹黑中國(guó)，制造所謂中國(guó)網(wǎng)絡(luò)威脅，他們根本拿不出充分的證據(jù)。”

　　軍事專(zhuān)家宋忠平對(duì)澎湃新聞?wù)f，中國(guó)是網(wǎng)絡(luò)攻擊的最大受害國(guó)，這是不爭(zhēng)的事實(shí)，科研院所、高校等單位是“重災(zāi)區(qū)”。中國(guó)也很重視網(wǎng)絡(luò)安全，注意在政府部門(mén)等關(guān)鍵場(chǎng)所的局域網(wǎng)的保護(hù)，不過(guò)，最要加強(qiáng)管理的還是人，必須加強(qiáng)對(duì)涉密人員的教育，讓他們知道，作為個(gè)別人，他們掌握的部分信息可能并不重要，但卻是重大機(jī)密的一部分，如果被人獲取、整合，就可能造成重大損失。

　　宋忠平表示，美國(guó)2010年已經(jīng)建立了網(wǎng)絡(luò)戰(zhàn)司令部，在今天的信息社會(huì)，誰(shuí)能控制“信息流”，誰(shuí)就能掌握戰(zhàn)爭(zhēng)的先機(jī)，甚至能左右戰(zhàn)爭(zhēng)的進(jìn)程。隨著我們?nèi)粘Ｉ睢靶畔⒒背潭鹊募由睿絹?lái)越多的信息實(shí)現(xiàn)數(shù)據(jù)化，能夠在網(wǎng)絡(luò)上傳輸，這也為網(wǎng)絡(luò)間諜行為提供了機(jī)會(huì)。此次的網(wǎng)絡(luò)攻擊從2014年開(kāi)始進(jìn)入活躍期，就是與中國(guó)對(duì)網(wǎng)絡(luò)依賴(lài)度加深有關(guān)，以往的間諜行為主要通過(guò)人工實(shí)現(xiàn)，現(xiàn)在由于很多信息可以通過(guò)網(wǎng)絡(luò)獲取，網(wǎng)絡(luò)間諜行為越來(lái)越多，這將是一個(gè)趨勢(shì)。